Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med Trend Micro Web Security (TMWS)

  • Artikel

I den här självstudien lär du dig att integrera Trend Micro Web Security (TMWS) med Microsoft Entra ID. När du integrerar TMWS med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till TMWS.
  • Gör så att dina användare automatiskt loggas in på TMWS med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats: Azure-portalen.

Förutsättningar

Du behöver följande för att komma igång:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • En TMWS-prenumeration som är aktiverad för enkel inloggning.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Enkel inloggning med Microsoft Entra i en testmiljö.

  • TMWS stöder SP-initierad enkel inloggning.

För att konfigurera integreringen av TMWS i Microsoft Entra-ID måste du lägga till TMWS från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet anger du Trend Micro Web Security (TMWS) i sökrutan.
  4. Välj Trend Micro Web Security (TMWS) i sökresultaten och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för TMWS

Du konfigurerar och testar Microsoft Entra SSO med TMWS med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länk mellan en Microsoft Entra-användare och den relaterade användaren i TMWS.

Du kommer att slutföra de här grundläggande stegen för att konfigurera och testa Microsoft Entra SSO med TMWS:

  1. Konfigurera Enkel inloggning med Microsoft Entra för att aktivera funktionen för dina användare.
    1. Skapa en Microsoft Entra-användare för att testa enkel inloggning med Microsoft Entra.
    2. Ge Microsoft Entra-testanvändaren åtkomst till TMWS.
    3. Konfigurera inställningar för användar- och gruppsynkronisering i Microsoft Entra-ID.
  2. Konfigurera enkel inloggning med TMWS på programsidan.
  3. Testa enkel inloggning för att verifiera konfigurationen.

Konfigurera enkel inloggning med Microsoft Entra

Slutför de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till sidan för programintegrering av Identity>Applications>Enterprise-program>Trend Micro Web Security (TMWS) i avsnittet Hantera och välj enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML väljer du pennknappen för Grundläggande SAML-konfiguration för att redigera inställningarna:

    Edit the Basic SAML Configuration settings

  5. I avsnittet Grundläggande SAML-konfiguration anger du värden i följande rutor:

    a. I rutan Identifierare (entitets-ID) anger du en URL i följande mönster:

    https://auth.iws-hybrid.trendmicro.com/([0-9a-f]{16})

    b. I rutan Svars-URL anger du den här URL:en:

    https://auth.iws-hybrid.trendmicro.com/simplesaml/module.php/saml/sp/saml2-acs.php/ics-sp

    Kommentar

    Identifierarvärdet i föregående steg är inte det värde som du ska ange. Du måste använda den faktiska identifieraren. Du kan hämta det här värdet i avsnittet Tjänstprovider Inställningar för Azure Admin Portalsidan Autentiseringsmetod för Microsoft Entra-ID från Administration > Directory Services.

  6. TMWS förväntar sig SAML-försäkran i ett visst format, så du måste lägga till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. Den här skärmbilden visar standardattributen:

    Default attributes

  7. Förutom attributen i föregående skärmbild förväntar sig TMWS att ytterligare två attribut skickas tillbaka i SAML-svaret. Dessa attribut visas i följande tabell. Attributen är förifyllda, men du kan ändra dem så att de uppfyller dina krav.

    Name Källattribut
    sAMAccountName user.onpremisessamaccountname
    upn user.userprincipalname

  8. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp Certifikat (Base64). Välj länken Ladda ned bredvid det här certifikatnamnet för att ladda ned certifikatet och spara det på datorn:

    Certificate download link

  9. I avsnittet Konfigurera Trend Micro Web Security (TMWS) kopierar du lämpliga URL:er eller URL:er baserat på dina krav:

    Copy the configuration URLs

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Ge Microsoft Entra-testanvändaren åtkomst till TMWS

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till TMWS.

  1. Bläddra till Identity>Applications Enterprise-program.>
  2. I programlistan väljer du Trend Micro Web Security (TMWS).
  3. På appens översiktssida går du till avsnittet Hantera och väljer Användare och grupper:
  4. Välj Lägg till användare och sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig ett rollvärde i SAML-försäkran går du till dialogrutan Välj roll och väljer lämplig roll för användaren i listan och klickar sedan på knappen Välj längst ned på skärmen.
  7. I dialogrutan Lägg till tilldelning väljer du Tilldela.

Konfigurera inställningar för användar- och gruppsynkronisering i Microsoft Entra-ID

  1. I rutan till vänster väljer du Microsoft Entra ID.

  2. Under Hantera väljer du Appregistreringar och sedan ditt nya företagsprogram under Alla program.

  3. Under Hantera väljer du Certifikat och hemligheter.

  4. I området Klienthemligheter väljer du Ny klienthemlighet.

  5. På skärmen Lägg till en klienthemlighet kan du lägga till en beskrivning och välja en förfalloperiod för klienthemligheten och sedan välja Lägg till. Den nya klienthemligheten visas i området Klienthemligheter .

  6. Registrera värdet för klienthemlighet. Senare anger du den i TMWS.

  7. Under Hantera väljer du API-behörigheter.

  8. I fönstret API-behörigheter väljer du Lägg till en behörighet.

  9. På fliken Microsoft-API:er i fönstret Förfrågnings-API-behörigheter väljer du Microsoft Graph och sedan Programbehörigheter.

  10. Leta upp och lägg till följande behörigheter:

    • Group.Read.All
    • User.Read.All

  11. Välj Lägg till behörigheter. Ett meddelande verkar bekräfta att inställningarna har sparats. De nya behörigheterna visas i fönstret API-behörigheter .

  12. I området Bevilja medgivande väljer du Bevilja administratörsmedgivande för ditt administratörskonto (Standardkatalog) och väljer sedan Ja. Ett meddelande verkar bekräfta att administratörens medgivande för de begärda behörigheterna har beviljats.

  13. Välj Översikt.

  14. Registrera program-ID:t och katalog-ID:t (klientorganisation) som visas i den högra rutan. Senare anger du informationen i TMWS.

Konfigurera enkel inloggning med TMWS

Utför de här stegen för att konfigurera enkel inloggning med TMWS på programsidan.

  1. Logga in på TMWS-hanteringskonsolen och gå till Administrationsanvändare>och AUTENTISERINGskatalogtjänster.>

  2. Välj här i det övre området på skärmen.

  3. På sidan Autentiseringsmetod väljer du Microsoft Entra-ID.

  4. Välj eller Av för att konfigurera om Microsoft Entra-användare i din organisation ska kunna besöka webbplatser via TMWS om deras data inte synkroniseras med TMWS.

    Kommentar

    Användare som inte synkroniseras från Microsoft Entra-ID kan endast autentiseras via kända TMWS-gatewayer eller den dedikerade porten för din organisation.

  5. I avsnittet Identity Provider Inställningar (Identitetsprovider Inställningar) utför du följande steg:

    a. I rutan Tjänst-URL anger du det inloggnings-URL-värde som du kopierade.

    b. I rutan Attribut för inloggningsnamn anger du användarnamnet för användarnamnet med källattributet user.onpremisessamaccountname .

    c. Använd det nedladdade certifikatet (Base64) i rutan Offentligt SSL-certifikat.

  6. I avsnittet Synkronisering Inställningar utför du följande steg:

    a. I rutan Klientorganisation anger du värdet katalog-ID (klientorganisation) eller anpassat domännamn .

    b. I rutan Program-ID anger du värdet program-ID (klient-ID ).

    c. I rutan Klienthemlighet anger du klienthemligheten.

    d. Välj Synkroniseringsschema för att synkronisera med Microsoft Entra-ID manuellt eller enligt ett schema. Om du väljer manuellt, när det finns ändringar i Active Directory-användarinformation, kom ihåg att gå tillbaka till sidan Katalogtjänster och utföra manuell synkronisering så att informationen i TMWS förblir aktuell.

    e. Välj Testa Anslut ion för att kontrollera om Microsoft Entra-tjänsten kan anslutas.

    f. Välj Spara.

Kommentar

Mer information om hur du konfigurerar TMWS med Microsoft Entra-ID finns i Konfigurera Microsoft Entra-Inställningar på TMWS.

Testa enkel inloggning

När du har konfigurerat Microsoft Entra-tjänsten och angett Microsoft Entra-ID som användarautentiseringsmetod kan du logga in på TMWS-proxyservern för att verifiera konfigurationen. När Microsoft Entra-inloggningen verifierar ditt konto kan du besöka Internet.

Kommentar

TMWS stöder inte testning av enkel inloggning under Översikt>Enkel inloggning>Konfigurera enkel inloggning med SAML-test> för ditt nya företagsprogram.

  1. Rensa webbläsaren för alla cookies och starta sedan om webbläsaren.

  2. Peka webbläsaren på TMWS-proxyservern. Mer information finns i Vidarebefordra trafik med PAC-filer.

  3. Besök alla internetwebbplatser. TMWS dirigerar dig till TMWS Captive Portal.

  4. Ange ett Active Directory-konto (format: domän\sAMAccountName eller sAMAccountName-domän@), e-postadress eller UPN och välj sedan Logga in. TMWS skickar dig till Microsoft Entra-inloggningsfönstret.

  5. I fönstret Microsoft Entra-inloggning anger du dina autentiseringsuppgifter för Microsoft Entra-kontot. Du bör nu vara inloggad på TMWS.

Nästa steg

När du har konfigurerat TMWS kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.